Kezelőpanel­jeiken át támadhatók a nyomtatók

Kezelőpanel­jeiken át támadhatók a nyomtatók

2022. május 12. 22:45, Csütörtök
Biztonsági kutatók az érintőképernyőiken keresztül törték fel az eszközöket és minden nyomtatási adatot elloptak.

A SEC Consult Sebezhetőségi Laboratóriumának két munkatársa, Johannes Kruchem és Werner Schober a Konica Minolta készülékeiben talált kritikus biztonsági rést. A sikeres akcióhoz fizikai hozzáférésre volt szükségük, mivel a hiányosság az érintőkijelzők kezelőpaneljeiben volt. Az utóbbiakkal napjainkban szinte mindegyik gyártó terméke rendelkezik. A szakemberek teljes mértékben hozzáférhettek az operációs rendszerhez és annak összes adatához, a kezelőfelület jelszavához és teljes mértékben megszerezték az irányítást a nyomtató felett, amelyet szabadon manipulálhattak. Az akciónak köszönhetően elfoghatták és továbbküldhették a beszkennelt dokumentumokat vagy manipulálhatták a képernyőt azért, hogy megszerezzék az egyik felhasználó belépési adatait.

A két érintett nyomtatótípus a Konica Minolta C3300i és C3350i volt, de mint kiderült, a biztonsági hiba több százezer eszközt érint. Kruchem és Schober még 2019-ben fedezték fel a problémát és azt jelezték is a gyártónak, amely viszonylag gyorsan reagált a dologra. Volt azonban egy probléma: a frissítést szinte mindegyik érintett készülék esetében manuálisan kellett elvégezni. Nem véletlen, hogy a munka közel három éven át tartott, annak ellenére, hogy a cég egy külön platformot is létrehozott, de az nem volt elég kiforrott és közbejött a koronavírus-járvány is.

A kutatók rámutattak, hogy a külső USB-portokat és az azokhoz való hozzáférést, ha lehetséges, az adminisztrátori menün keresztül le kell tiltani és a rendszergazdai jelszavakat minden egyes berendezés esetében meg kell változtatni. A szakemberek hozzátették, hogy a gyártóknak már a kezelőszoftverek fejlesztésekor figyelniük kell az IT-biztonságra. A problémák utólagos kijavítása túl magas költségeket eredményezhet, különösen akkor, ha a frissítéseket nem lehet automatikusan végrehajtani.

Kapcsolódó linkek

Listázás a fórumban